악성코드 공격자들의 전략적인 공격이 대폭 확대되고 있으며 악성링크에 대해 대규모 변경과 추가가 계속 발생하고 있다. 또 신규 악성링크의 수치는 지난주와 유사하며 신규 악성코드만 일부 증가된 형태를 보이고 있다. 그러나 실제 악성링크 하나가 지난주에 관찰되었듯 최소 10개~최대 100 개 이상의 웹서비스에서 동시에 중계된 사례가 발생했으며 최대 250개 이상 사이트에서 동일 링크가 중계되고 있다고 빛스캔(문일준 대표) 측이 주간 보고서를 통해 밝혔다.
 
이는 빛스캔 관찰이래 최대치의 악성링크 확산 사태가 발생한 것이라고 한다. 즉 중간 경로를 이용한 효율적 공격들이 대규모로 관찰되고 있어서 영향력 면에서는 지난주의 100여 개 이상의 사이트에서 유포된 사례와 비교해 위험성은 더 크게 확대된 상태라는 것이다.
 
빛스캔(문일준 대표)과 KAIST 사이버보안센터(주대준 KAIST 부총장)에서 공동 운영하는 보안정보 제공 서비스 6월 1주차 국내 인터넷 환경 위협 분석 내용에 따르면 이번주 악성코드 공격의 특징은 다음과 같다.  
 
-거대 맬웨어넷(Malware net)이 확장되고 있다. 국내에서 250여 개 이상 사이트에서 운영되고 있다. 이번주 맬웨어넷 악성링크는 ‘http://www.xxxx.or.kr/popup_img/popup.js’이다. (정식 보고서에는 정확한 악성링크 URL이 공개된다.)
 
-현재 발견된 것 중에서도 대규모 Malware net 이외에 다수의 Malware net이 운영 중에 있다. 규모는 작으나 언제든 대규모 확장이 가능한 상태로 유지되고 있는 중이다.
 
-유명 은행의 인터넷뱅킹을 악성코드 유포 사이트로 유도하기 위한 공격의 온라인 전파가 확대중이며 Drive by download, 파일 업데이트가 아닌 웹 서비스 방문을 통한 대규모 유포 시도 중이다.  
 
-분석 방해를 위한 Virtual machine 회피 기법 활용 및 국내 주요 백신에 대한 우회 그리고 거의 대부분의 게임에 대한 프로세스 모니터링이 대규모로 발견되고 있다.
 
-백도어 및 키로거 기능의 악성코드 유포가 대폭 증가되고 있다. 6월 10일부터 Mass SQL 공격의 일종으로 추가된 fjuhgk.com/r.php 링크가 신규 발견되어 확산 중이다.
 
전상훈 빛스캔 기술이사는 “이번주 중앙일보에 대한 페이지 변조 사건이 있었지만 감지된 일부 언론사의 경우 실제 악성코드 유포에 직접 활용되었으며 그 언론사는 조선일보”라며 “감지된 악성링크가 추가된 URL은 xxxxxxx.chosun.com/inc/scripts.js이나 전체적으로 문제가 있었을 것”이라고 설명했다.   
 
또 “시스템 상에 백도어 설치를 통해 게임 계정 정보를 유출하는 악성코드의 일종이 설치 되었다. 1주일 동안 발견된 악성코드 흔적 2,300여 곳 중 하나일 뿐이다. 중앙일보 페이지 변조보다 수준 높은 악성코드 유포가 그만큼 많이 일어나고 있다”고 밝혔다.
 
한편 “금융정보 유출을 위한 악성코드도 대규모 활동을 함으로써 강도 높은 경계 단계로 진입하고 있다. 은행 사용자를 겨냥한 Host 파일 변조 기능의 악성코드가 유포되고 있다”며 “대규모로 유포된 게임 계정 탈취형 악성코드에 추가된 기능으로서 국내에 상당규모 유포되었을 것으로 추정된다. Host 파일에 변조된 IP 주소는 123.254.xxx.92(홍콩)이다.(정식 보고서에는 IP주소 공개)”라고 주의를 당부했다.  

 
이번주 악성코드 유포지로 이용된 웹사이트는 300여 곳 이상이며 전주 대비 대폭 감소 되었으나 실제로는 600여 곳 이상에서 악성코드를 중계하는 것으로 조사됐다. 그리고 악성링크 확산 규모가 주말 단 2일 동안에 250여 개 이상 사이트에서 중계를 하도록 확장되는 심각한 국면이다. 6월 1주차 전체 악성링크 흔적이 발견된 곳은 2,300여 곳으로 빛스캔 측은 집계하고 있다.

 
전상훈 이사는 “악성링크가 삽입된 웹서비스들의 대응이 많이 부족한 상태라 계속 재발 되고 있으며 대규모 감염을 시키기 위해 사용자가 방문시 감염될 수 있는 사이트들을 대규모로 확장해서 거대 네트워크를 운영 중”이라며 “악성코드 전파용인 맬웨어 넷은 금주의 관찰 결과 지난주 관찰되었던 백여 개 이상의 웹서비스들에서 중계되었던 악성 중계 링크의 경우 이 중 40% 가량이 금주 공격에 이용된 www.xxx.or.kr/popup_img/popup.js로 전환되는 현상이 관찰되었다. 즉 공격자가 액티브하게 활용 할 수 있는 상태다”라고 설명했다.  
 
더욱이 “행위 분석 방해를 위한 Virtual Machine 분석 회피 방안도 지속적으로 출현 중이다. 빛스캔 PCDS(Pre Crime Detect System)을 회피하기 위해 3월에 이용되었던 악성링크를 이번 대규모 악성코드 유포에 적극 활용하고 있다는 점이며 이미 선 반영이 되어 향후에는 갱신된 실제 현황으로 브리핑이 가능 할 것”이라고 덧붙였다.  
 
한편 사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되고 있으며 전주와 동일하게 Oracle의 Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있다. 또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이기 때문에 강력한 보호조치가 이루어져야 하는 상황이다.  
 
전 이사는 “패치 이외에도 다양한 방안을 강구해야 문제 해결을 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고 있으며 발생 가능한 위험을 제거했느냐가 핵심”이라고 강조했다.  
 
특히 Oracle Java 취약성, Adobe Flash 취약성, MS의 Medi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있다.
 
또 빛스캔 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속적 관찰 되고 있어 위험성이 매우 높다.  
  
전 이사는 “기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단된다”며 “모두 시스템에서의 백신 프로세스를 중지시키고 국내외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있는 상황”이라고 주의를 당부했다.  

 
공격자들이 모니터링하는 프로세스의 종류에 대해 그는 “국내 대부분 백신과 넥슨의 OTP까지 모니터링을 하고 있다. 게임종류는 국내외 게임사들의 주력 게임들이 모두 해당되고 있다. OTP 관련 프로세스에 대한 후킹이나 모니터링이 된다는 것은 계정 도용 및 탈취를 막기 위한 보호대책을 추가적으로 모색해야 하는 상황으로 보여진다. 금융권도 상황은 다르지 않다”고 밝혔다.
 
빛스캔 주간보고서를 종합해 보면, 국내 상황은 여전히 악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고 있으며 악성코드 유포 인지도 못하는 상태다. 그래서 대응이 되지 않는 악순환이 계속 되고 있다. 공격자들은 자유로운 재활용을 넘어 악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환되었다. 또한 대규모 Malware net을 자유자재로 변경하고 활용하는 현상이 추가 관찰 되어 향후의 위험성은 더욱 높아진 상태다.
 
빛스캔 보고서 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 기관명/ 담당자/ 연락처를 기재해 보내면 된다. 시범은 기관/기업별 1회에 한정한다. 보고서를 위해 악성링크 자체 수집은 빛스캔의 PCDS(Pre crime detect system)를 통해 수집하며 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터 및 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com